サイバー攻撃の警告サインを見つけ、機密データを危険にさらす可能性がある時期を理解するために必要な知識を従業員に提供します
サイバーセキュリティには、人間がセキュリティチェーンの中で最も弱いリンクであるという古い格言があります。 脅威アクターが信心深いまたは不注意な従業員を悪用するために競争するので、それはますます真実です。 しかし、その弱いリンクを手ごわい最初の防衛線に変えることも可能です。 重要なのは効果的な展開です セキュリティ意識向上トレーニングプログラム.
調査によると 82年に分析されたデータ侵害の2021%は、「人的要素」に関係していました。 従業員が攻撃の最大の標的となるのは、現代のサイバー脅威の避けられない事実です。 しかし、攻撃の警告サインを見つけ、機密データを危険にさらす可能性がある時期を理解するために必要な知識を彼らに与えてください。リスク軽減の取り組みを進める大きな機会があります。
セキュリティ意識向上トレーニングとは何ですか?
意識向上トレーニングは、ITおよびセキュリティリーダーがプログラムで達成したいことの最高のモニカではない可能性があります。 実際には、主要なサイバーリスクがどこにあるのか、そしてそれらを軽減するためにどのような簡単なベストプラクティスを学ぶことができるかについての教育を改善することで、行動を変えることが目標です。 これは形式化されたプロセスであり、従業員が正しい意思決定を行えるようにするために、さまざまなトピック領域と手法を理想的にカバーする必要があります。 このように、それは作成したい組織のための基本的な柱と見なすことができます 設計によるセキュリティ 企業文化。
なぜセキュリティ意識向上トレーニングが必要なのですか?
他の種類のトレーニングプログラムと同様に、アイデアは、個人のスキルを向上させて、より良い従業員にすることです。 この場合、 セキュリティ意識の向上 彼らがさまざまな役割をナビゲートするときに個人をしっかりと立たせるだけでなく、潜在的なリスクを軽減します 損害を与えるセキュリティ違反.
実際のところ、企業ユーザーは組織の心臓部に位置しています。 それらがハッキングされる可能性がある場合、組織もハッキングされる可能性があります。 同様に、彼らが機密データや IT システムにアクセスすることで、会社に悪影響を及ぼす可能性のある事故が発生するリスクが高まります。
いくつかの傾向は、セキュリティ意識向上トレーニングプログラムの緊急の必要性を浮き彫りにしています。
パスワード: 静的なクレデンシャルは、コンピュータシステムと同じくらい長い間存在していました。 そして、何年にもわたってセキュリティの専門家の訴えにもかかわらず、彼らはユーザー認証の最も人気のある方法であり続けています。 理由は簡単です。人々はそれらの使い方を本能的に知っています。 課題は、彼らも ハッカーの巨大な標的。 従業員をだまして引き渡すように仕向けたり、推測したりすることもできます。多くの場合、完全なネットワークアクセスの邪魔になるものは他にありません。
によると、アメリカ人従業員の半数以上がペンと紙にパスワードを書き留めています。 1つの推定値. 不十分なパスワード慣行 ハッカーへの扉を開きます。 また、従業員が覚えておく必要のある資格情報の数が増えると、誤用の可能性も高まります。
ソーシャルエンジニアリング: 人間は社交的な生き物です。 それは私たちを説得しやすくします。 私たちは、私たちが語った物語とそれを語っている人を信じたいのです。 これは ソーシャルエンジニアリングが機能する理由: 攻撃者が、時間のプレッシャーやなりすましなどの説得力のある手法を使用して、被害者をだまして入札を行わせること。 最良の例は フィッシング詐欺 メール、テキスト(別名 smishing)、および電話(別名 ヴィッシング)、しかしそれはまたで使用されます ビジネス電子メール侵害(BEC)攻撃 およびその他の詐欺。
サイバー犯罪経済: 今日、これらの脅威アクターは、ダークウェブサイトの複雑で洗練された地下ネットワークを持っています。 データとサービスの売買 –防弾ホスティングからサービスとしてのランサムウェアまですべて。 これは 数兆の価値があると言われています。 サイバー犯罪業界のこの「専門化」により、脅威アクターは当然、投資収益率が最も高い場所に努力を集中するようになりました。 多くの場合、それはユーザー自身、つまり企業の従業員と消費者をターゲットにすることを意味します。
ハイブリッド作業: 在宅労働者は であると考えられ フィッシングリンクをクリックして、個人的な使用のために仕事用デバイスを使用するなどの危険な行動をとる可能性が高くなります。 このように、の新時代の出現 ハイブリッド作業 は、攻撃者が最も脆弱なときに企業ユーザーを標的にするための扉を開きました。 それは、ホームネットワークとコンピュータがオフィスベースの同等のものよりも十分に保護されていない可能性があるという事実は言うまでもありません。
なぜトレーニングが重要なのですか?
最終的に、サードパーティの攻撃によるものであれ、偶発的なデータ開示によるものであれ、重大なセキュリティ違反は、重大な経済的および評判上の損害をもたらす可能性があります。 A 最近の研究で明らかになった そのような違反に苦しんだ企業の20%は、結果としてほぼ破産しました。 別の研究 世界的なデータ侵害の平均コストは今までになく高く、4.2万米ドルを超えていると主張しています。
これは、雇用主にとって単なるコスト計算ではありません。 HIPAA、PCI DSS、Sarbanes-Oxley (SOX) などの多くの規制では、準拠する組織が従業員のセキュリティ意識向上トレーニング プログラムを実行する必要があります。
意識向上プログラムを機能させる方法
「なぜ」について説明しましたが、「どのように」についてはどうでしょうか。 CISOは、通常、企業のトレーニングプログラムを主導するHRチームと相談することから始める必要があります。 彼らは臨時のアドバイスやより調整されたサポートを提供できるかもしれません。
カバーする領域には、次のものがあります。
- ソーシャルエンジニアリングとフィッシング/ビッシング/スミッシング
- 電子メールによる偶発的な開示
- Web保護(セーフサーチとパブリックWi-Fiの使用)
- パスワードのベストプラクティスと多要素認証
- 安全なリモートおよび在宅作業
- インサイダーの脅威を見つける方法
とりわけ、レッスンは次のようにすべきであることに留意してください。
- 楽しくて ゲーム化 (恐怖に基づくメッセージではなく、前向きな強化を考えてください)
- 実際のシミュレーション演習に基づいています
- 短いレッスン(10〜15分)で年間を通して継続的に実行する
- 幹部、パートタイマー、請負業者を含むすべてのスタッフを含む
- 個々のニーズに合わせてプログラムを調整するために使用できる結果を生成できる
- さまざまな役割に合わせて調整
これらすべてが決まったら、適切なトレーニングプロバイダーを見つけることが重要です。 良いニュースは、無料のツールを含め、さまざまな価格帯でオンラインにたくさんのオプションがあることです。 今日の脅威の状況を考えると、何もしないことは選択肢ではありません。
